Relatório de vulnerabilidade do WordPress: novembro de 2021, parte 1
Publicados: 2021-11-03Plugins e temas vulneráveis são a razão número 1 pela qual os sites WordPress são invadidos. O relatório semanal de vulnerabilidades do WordPress, desenvolvido pela WPScan, abrange as vulnerabilidades recentes de plugins, temas e principais do WordPress, e o que fazer se você executar um dos plugins ou temas vulneráveis em seu site.
Cada vulnerabilidade terá uma classificação de gravidade baixa , média , alta ou crítica . A divulgação responsável e o relatório de vulnerabilidades são parte integrante de manter a comunidade WordPress segura.
Por favor, compartilhe este post com seus amigos para ajudar a divulgar e tornar o WordPress mais seguro para todos.
Vulnerabilidades do WordPress Core
A versão mais recente do núcleo do WordPress é 5.8.1. Como prática recomendada, sempre execute a versão mais recente do núcleo do WordPress!
Vulnerabilidades de plugins do WordPress
Nesta seção, as vulnerabilidades mais recentes do plugin WordPress foram divulgadas. Cada listagem de plug-ins inclui o tipo de vulnerabilidade, o número da versão se corrigida e a classificação de gravidade.
1. Comentários mais
Plugin: Comentários Plus
Vulnerabilidade : Assinante+ Comentários DoS
Corrigido na versão : 1.2.14
Pontuação de gravidade : baixa
2. Galeria de apresentação de slides
Plug-in: Galeria de apresentação de slides
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 1.7.4
Pontuação de gravidade : baixa
3. Principal WP Filho
Plugin: MainWP Child
Vulnerabilidade : Admin+ SQL Injection
Corrigido na versão : 4.1.8
Pontuação de gravidade : média
4. Catálogo de produtos de comércio eletrônico para WordPress
Plugin: Catálogo de produtos de comércio eletrônico para WordPress
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 3.0.39
Pontuação de gravidade : alta
5. Falang multilíngue para WordPress
Plugin: Falang multilíngue para WordPress
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 1.3.18
Pontuação de gravidade : alta
6. Gerente de videoaulas
Plugin: Gerenciador de aulas de vídeo
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 1.7.2
Pontuação de gravidade : baixa
7. Verificação ortográfica do WP
Plugin: Verificação ortográfica do WP
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 9.3
Pontuação de gravidade : alta
8. Comércio eletrônico - Autenticação de dois fatores
Plugin: Ecommerce – Autenticação de dois fatores
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 1.0.5
Pontuação de gravidade : alta
9. Carregador MAZ
Plugin: MAZ Loader
Vulnerabilidade : exclusão arbitrária do carregador via CSRF
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : alta
10. Portão da Idade
Plugin: Age Gate
Vulnerabilidade : configurações de importação não autenticadas
Corrigido na versão : 2.17.1
Pontuação de gravidade : Crítico
11. Postagem duplicada
Plugin: Post duplicado
Vulnerabilidade : injeção de SQL autenticada
Corrigido na versão : 1.2.0
Pontuação de gravidade : média
12. Notificação
Plugin: Notificação
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : 8.0.0
Pontuação de gravidade : baixa
13. Diretório de Negócios de Conexões
Plugin: Diretório de Negócios do Connections
Vulnerabilidade : Admin+ Injeção de CSV
Corrigido na versão : 9.7
Pontuação de gravidade : média
14. Tags de mídia
Plugin: Tags de mídia
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : baixa
15. Sobre a caixa do autor
Plugin: Sobre a caixa do autor
Vulnerabilidade : Contributor+ Scripts entre sites armazenados
Corrigido na versão : 1.0.2
Pontuação de gravidade : média
16. Assinaturas e associações para PayPal
Plugin: Assinaturas e associações para PayPal
Vulnerabilidade : Script entre sites refletido por meio do parâmetro de página
Corrigido na versão : 1.1.3
Pontuação de gravidade : alta
17. Aceite doações com o PayPal
Plugin: Aceite Doações com PayPal
Vulnerabilidade : Script entre sites refletido por meio do parâmetro de página
Corrigido na versão : 1.3.1
Pontuação de gravidade : alta
18. Eventos fáceis do PayPal
Plugin: Eventos fáceis do PayPal
Vulnerabilidade : Script entre sites refletido por meio do parâmetro de página
Corrigido na versão : 1.1.2
Pontuação de gravidade : alta
19. Qualquer coisa pop-up
Plugin: Popup Qualquer Coisa
Vulnerabilidade : Contributor+ Scripts entre sites armazenados
Corrigido na versão : 2.0.4
Pontuação de gravidade : alta
20. Gerente de Trabalho JS
Plugin: JS Job Manager
Vulnerabilidade : instalação/ativação de plug-in arbitrário não autenticado
Corrigido na versão : 1.1.9
Pontuação de gravidade : Crítico
21. Mudança de data e hora em massa
Plugin: Alteração de data e hora em massa
Vulnerabilidade : autorização ausente
Corrigido na versão : 1.12
Pontuação de gravidade : média
22. Formas Ninja
Plugin: Ninja Forms
Vulnerabilidade : Admin+ SQL Injection
Corrigido na versão : 3.6.4
Pontuação de gravidade : média
23. Exportação de Anexo WP
Plugin: Exportação de Anexo WP
Vulnerabilidade : download de postagens não autenticadas
Corrigido na versão : 0.2.4
Pontuação de gravidade : alta
24. Controle deslizante de texto de conteúdo na postagem
Plugin: controle deslizante de texto de conteúdo na postagem
Vulnerabilidade : Scripts entre sites armazenados autenticados (XSS)
Corrigido na versão : 6.9
Pontuação de gravidade : média
25. Importador de demonstração de HashThemes
Plugin: Importador de demonstração HashThemes
Vulnerabilidade : controle de acesso impróprio para redefinir o blog
Corrigido na versão : 1.1.2
Pontuação de gravidade : Crítico
26. Inscrições para o Calendário de Eventos
Plugin: Inscrições para o Calendário de Eventos
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 2.7.5
Pontuação de gravidade : alta
27. WP do Conselho Administrativo
Plugin: Mang Board WP
Vulnerabilidade : injeção de SQL
Corrigido na versão : 1.6.9
Pontuação de gravidade : alta
28. OptinMonster
Plugin: OptinMonster
Vulnerabilidade : endpoints de API REST desprotegidos
Corrigido na versão : 2.6.5
Pontuação de gravidade : alta
29. PróximoScripts: Auto-Poster de Redes Sociais
Plugin: NextScripts: Auto-Poster de Redes Sociais
Vulnerabilidade : Script entre sites refletido
Corrigido na versão : 4.3.21
Pontuação de gravidade : alta
30. Smash Balloon Social Post Feed
Plugin: Smash Balloon Social Post Feed
Vulnerabilidade : Atualização de configurações de plug-in arbitrário + Assinante para XSS armazenado
Corrigido na versão : 4.0.1
Pontuação de gravidade : alta
31. Questionário WP-Pro
Plugin: WP-Pro-Quiz
Vulnerabilidade : Exclusão Arbitrária do Questionário via CSRF
Corrigido na versão : Nenhuma correção conhecida – plug-in fechado
Pontuação de gravidade : média
32. Formulário de contato da Supsystic
Plugin: Formulário de contato da Supsystic
Vulnerabilidade : Admin+ Stored Cross-Site Scripting
Corrigido na versão : nenhuma correção conhecida
Pontuação de gravidade : baixa
33. WP-Stats
Plugin: WP-Stats
Vulnerabilidade : CSRF para scripts entre sites armazenados (XSS)
Corrigido na versão : 2.52
Pontuação de gravidade : alta
Como proteger seu site WordPress de plugins e temas vulneráveis
Como você pode ver neste relatório, muitos novos plugins WordPress e vulnerabilidades de temas são divulgados a cada semana. Sabemos que pode ser difícil ficar por dentro de cada divulgação de vulnerabilidade relatada, portanto, o plug-in iThemes Security Pro facilita a verificação de que seu site não está executando um tema, plug-in ou versão principal do WordPress com uma vulnerabilidade conhecida.
1. Instale o plug-in iThemes Security Pro
O plug-in iThemes Security Pro protege seu site WordPress contra as formas mais comuns de invasão de sites. Com mais de 30 maneiras de proteger seu site em um plug-in fácil de usar.
2. Habilite a Verificação do Site para Verificar Vulnerabilidades Conhecidas
O recurso de gerenciamento de versão do iThemes Security Pro se integra ao Site Scan para proteger seu site. Temas vulneráveis, plugins e versões principais do WordPress serão atualizados automaticamente para você.
3. Monitorar alterações de arquivos
A chave para detectar rapidamente uma violação de segurança é monitorar as alterações de arquivos em seu site. O recurso Detecção de alteração de arquivo no iThemes Security Pro verificará os arquivos do seu site e o alertará quando ocorrerem alterações em seu site.
Obtenha o iThemes Security Pro com monitoramento de sites 24 horas por dia, 7 dias por semana
O iThemes Security Pro, nosso plugin de segurança do WordPress, oferece mais de 50 maneiras de proteger seu site contra vulnerabilidades comuns de segurança do WordPress. Com o WordPress, autenticação de dois fatores, proteção de força bruta, aplicação de senha forte e muito mais, você pode adicionar camadas extras de segurança ao seu site.